Tworzenie polityki bezpieczeństwa

Na podstawie wcześniej przeprowadzonej analizy bezpieczeństwa i wywiadu mającego na celu ustalenie wymagań firmy co do polityki, potencjalnych zagrożeń, struktury przedsiębiorstwa i sposobu przepływu danych tworzona jest polityka bezpieczeństwa. Polityka bezpieczeństwa może dotyczyć różnych aspektów działania przedsiębiorstwa. Może być dokumentem dość ogólnym, obejmującym jednak całość zagadnień bezpieczeństwa w firmie, a może być szczegółowym opracowaniem dotyczącym jedynie specyficznych czynności, np. dystrybucji urządzeń kryptograficznych. Inną zupełnie specyfikę mają polityki dotyczące jedynie systemów informatycznych. Zgodnie z klasyfikacją NIST, można wyróżnić cztery poziomy polityk bezpieczeństwa:

  • Program-Level Policy - zdefiniowana na wysokim poziomie i ukierunkowana na realizację misji organizacji, i opisująca ogólny program bezpieczeństwa.
  • Program-Framework Policies - opisująca strukturę programu zabezpieczeń i zawierająca ogólne dokumenty dotyczące całej organizacji.
  • Issue-Specific Policies- ukierunkowana na poszczególne istotne zadania lub na bieżąco realizowane projekty
  • System-Specific Policies - dokumenty i procedury zabezpieczeń odnoszące się do konkretnego systemu.